如果我們能從過去幾年媒體報道的一系列數據泄露事件中學到一二，惡意攻擊者對數據中心(“駐留”(Dwell Time)黑客在這些環境中受益)的廣泛活動一直是組織機構遭受破壞程度的主要因素。駐留時間越長(數周、數月、數年)，訪問次數越多，受害者遭受的損壞就越大。

惡意攻擊者的能力不僅是獲得關鍵資產，還會在數據中心附近自由走動而不被發現。接下來幾年，預計網絡安全支出將達近1000億美元，這仍有些讓人難以置信。未來幾年，人們將會在網絡安全上大量支出，但卻無法阻止惡意攻擊者自由出入網絡和應用中心內部。

任何規模的組織機構可以通過一件重要的事幫助應對該挑戰：更好地分割內部網絡和數據中心運營。這是大多數IT和安全團隊目前為止沒有采取的關鍵步驟。即使在今天，巨額網絡安全支出和注意力仍集中在外圍。事實上，今年早些時候，NSA特定入侵行動辦公室(Tailored Access Operations，TAO)的團隊負責人Rob Joyce在Usenix Enigma安全大會上發表精彩講話時傳遞了一條簡單信息：對任何重要網絡進行分段。

那么，為什么沒有組織機構行動起來?為什么不能像黑客一樣思考并采取行動應對威脅?

事實證明，基于傳統網絡技術(交換機、路由器、防火墻等)的微分段(Microsegmentation)，雖然很有價值，但會增加數據中心運營的復雜性和風險。執行起來非常困難。許多大型組織機構使用數以百萬計基于IP地址的防火墻規則，使得他們的安全政策在復雜性和脆弱性方面僅次于聯邦稅法。如何轉化成數據中心內部?

為什么不能從黑客身上吸取教訓?黑客不會突然入侵數據中心，他們往往會尋找一個漏洞，然后離開。這就意味著，具有廣泛基礎的分段在效果上將受限。互補方法是驅動分段接近應用程序，甚至接近物理或虛擬服務器，這類方法可以降低內部威脅和橫向攻擊擴散。如果工作負載/應用程序被感染，并且其它應用程序沒有很好地分段，惡意黑客可以迅速擴散(Target、美國人事管理局和索尼影業遭受的攻擊便以這樣的方式開始)。只有分段到工作負載/應用程序才能防止/減少風險。

目前尤其突出的是，應用程序變得越來越分散、動態、異構、混合。簡單而言，許多現代N-層應用程序不在一個服務器上運行一個框架。一個應用程序甚至會跨幾十個數據中心。這樣一來，怎么能通過防火墻保護?

內部分段方法必須適應環境的變化(自旋向上、向下、移動)，并增加新計算格式的動態性，例如，Linux容器只能運行幾秒鐘完成進程。并且，Linux容器必須在混合環境下運作。

數據中心微分段的好處在于減少惡意攻擊者進行通信和移動的攻擊面。通過鎖定所有未授權的通信，同樣可以限制大部分探測，使惡意攻擊者難以在整個數據中心橫向擴散。